近日,全球信息技術研究機構Gartner發佈了2019年雲安全技術成熟度曲線報告(Gartner, Hype Cycle for Cloud Security, 2019, Jay Heiser, Steve Riley, 23 July 2019),
首次將機密計算(confidential computing)列入其中,阿里雲因在機密計算領域的諸多實踐被列為典型廠商,且是亞太唯一雲服務商。技術成熟度曲線(The Hype Cycle),又稱技術循環曲線,指的是企業用來評估新科技的可見度,利用時間軸與市面上的可見度決定要不要採用新科技的一種工具。1995年,Gartner開始每年推出各領域的技術成熟度曲線。
2019年,Gartner首次將機密計算列入其中,並作為雲安全技術模型中最初始的一環出現,說明了機密計算在整個雲安全鏈路中起到的根本性作用。阿里雲2017年便與英特爾聯合發佈了基於芯片級的SGX加密計算技術(即機密計算技術),提前佈局,用最前沿的技術保障雲上客戶數據安全。
眾所周知,如何保障系統運行時環境可信是一個重要挑戰,目前傳統的TPM技術僅能完成系統啟動過程中的可信度量啟動,無法在應用啟動後的內存環境提供可信執行環境,對敏感應用及數據進行有效的保護,因此難以勝任對運行時可信的要求。
基於Intel SGX加密計算技術,阿里云為雲上客戶提供了系統運行時的可信能力,雲上開發者可以利用SGX技術提供的可信執行環境,將內存中的關鍵代碼和數據保護起來,即使具備更高特權的系統組件包括BIOS、虛擬化底層、操作系統內核,以及高特權進程也都無法獲得關鍵代碼和數據,讓客戶可以擺脫對雲平臺的依賴,通過擁有云上的可信執行環境,防止數據被竊取或被篡改。
阿里雲是亞太區第一個推出基於SGX((Software Guard Extensions )加密計算的雲服務商,並在全球範圍內首個將SGX技術商業化,讓雲上用戶都可以以最簡單最便捷的方式享受高等級數據安全保護能力。
Gartner在報告中指出,阿里雲提供了Fortanix運行時加密方案,通過運行時抽象接口,減少對應用修改的必要,這使得雲服務商減少了對單一硬件的具體實現依賴,其他CPU廠商也在選擇基於芯片提供類似SGX的可信執行環境。基於顯著的技術優勢,機密計算開始在大多數企業組織普遍使用。
阿里雲在機密計算所做工作不止如此:
- 2017年10月, Intel與阿里雲達成技術合作,在雲棲大會上聯合發佈了加密計算技術:以SGX可信執行環境作為基礎,保護客戶數據安全。
- 2018年4月,阿里雲在RSA2018上,宣佈支持阿里雲加密計算技術的神龍雲服務器正式商業化,同時大量客戶開始通過加密計算保護敏感數據,其中包括硅谷區塊鏈創業公司Oasis Labs。
- 2018年9月,在雲棲大會上,阿里雲發佈了FPGA加密計算技術,阿里雲通過和Intel合作,將加密計算技術從處理器擴展到FPGA設備,通過FPGA加密計算技術讓今天主流的機器學習計算模型和數據相關的計算都可以運行在可信環境中,從而幫助客戶提升雲上數據安全水位。
- 2018年9月,在雲棲大會上,阿里雲發佈了智能網卡加密計算技術,阿里雲通過和世界領先的高性能計算、數據中心端到端互連方案提供商Mellanox公司合作,基於智能網卡推出了智能網卡的加密計算技術,從而將系統的可信擴展到網絡上,通過智能網卡加密計算技術實現可信網絡。
- 2018年10月,阿里雲正式宣佈通過和Fortanix公司的戰略合作,向阿里雲的用戶提供基於Fortanix產品的密鑰管理產品方案。
- 2018年10月,阿里雲基於加密計算技術進行數字密鑰保護的區塊鏈服務平臺正式商業化發佈。
- 2019年4月,阿里雲和區塊鏈創業公司Oasis Labs宣佈戰略合作,Oasis Labs的安全區塊鏈智能合約正式上線,相關安全計算自動分配到阿里雲加密計算服務器上運行。
- 2019年4月,阿里雲作為雲廠商代表應邀在RSA2019期間,在英特爾會場講解了SGX技術在阿里雲的應用實踐。
- 2019年7月,阿里雲聯合英特爾發佈了針對雲原生Golang應用保護的Graphene Golang開源解決方案,旨在幫助阿里雲上基於Golang開發的雲原生應用可以不經修改得通過SGX技術進行保護,進一步豐富SGX技術生態,讓更多的客戶可以享受機密計算的安全能力。
- 2019年的8月,阿里雲聯合浙江大學舉辦首屆SGX應用創意大賽,培養和挖掘更多中國高校和企業中SGX的應用開發者,挖掘新的業務場景,通過產學研相結合的方式,共建SGX安全技術領域的新生態和生力軍。點擊報名參賽。
附Gartner對機密計算的定義
機密計算,即基於芯片硬件技術和雲上虛擬映像和軟件工具,從而使得雲上用戶可以創建一個完全隔離的可信執行環境,也叫做安全區,由於機密計算可以對正在使用/執行中的數據進行加密,因此主機操作系統和雲服務提供商都無法識別到這些安全區的敏感信息,從而防止任何第三方對正在執行中的數據進行篡改。由此可以看出,機密計算解決了用戶對數據運行時安全問題的擔憂。
